Twitter en NYT kampten met dns-hacks Syrian Electronic Army

Twitter en The New York Times kampten dinsdagavond enkele uren met hack-aanvallen van een groepering die zich de Syrian Electronic Army noemt. De hackers slaagden er meer dan eens in de dns-instellingen van de sites aan te passen via een Australische registrar.

Dinsdagavond bleek de domeinnaamserver van Twitter, de afbeeldingendienst van Twitter Twimg en de New York Times aangepast te zijn naar ns1.syrianelectronicarmy.com en ns2.syrianelectronicarmy.com, waardoor gebruikers werden doorgesluisd naar een Russische host die bekend staat als bron voor malware. Nadat de beheerders de dns-instellingen weer aanpasten naar de correcte servers, ontstond een kat- en muisspel met de hackers, waarbij de namen keer op keer over en weer werden aangepast. De aanval werd opgeëist door de SEA.

De twee domeinnamen gebruikten beide het Australische Melbourne IT als registrar. Een woordvoerder van dat bedrijf bevestigde tegen de Australian Financial Review dat de servers binnengedrongen werden. De hackers zouden een account van een reseller gebruikt hebben om toegang te krijgen, waarna ze de mogelijkheid kregen de instellingen van maximaal negen domeinnamen aan te passen. Naast Twitter en de New York Times, kampte ook de Huffington Post met problemen, terwijl de andere sites volgens Melbourne IT minder bekend waren of extra beveiligingsmaatregelen hadden. Het bedrijf zou de ongeautoriseerde toegang snel ongedaan gemaakt hebben en nu de logs bestuderen voor de precieze details. Dnssec zou niet geholpen hebben tegen de aanval, maar volgens Cloudflare zou een registry lock de problemen wel voorkomen hebben.

De SEA is een beweging die de Syrische president Bashar al-Assad steunt. De groep dook in 2011 voor het eerst op, toen de opstand in Syrië begon, schrijft de New York Times. De hackers plaatsten toen pro-Assad-reacties op populaire Facebook-accounts zoals die van de Amerikaanse president Obama. In de jaren erna richtte de SEA zich met hack-acties op sites van grote mediabedrijven, zoals de Washington Post, BBC, Al Jazeera, Daily Telegraph, Associated Press en de Financial Times.

IT-banen

Reacties (23)

dvanmaanen 28 augustus 2013 08:57

Lijkt mij een ietwat impulsieve, totaal niet voorbereide aanval. Ze ontdekten erin te kunnen en hebben toen meteen een a-record gewijzigd. Verder niks spannends. Ze hebben niet eens de moeite genomen om een duidelijk motief of een boodschap achter te laten, of bijvoorbeeld email te onderscheppen. Dit is in mijn ogen jeugd-vandalisme. Gewoon een beetje pesten. Heeft niks te maken met wat er in Syrië aan de hand is.

NoUseWhatsoever @dvanmaanen • 28 augustus 2013 10:41

Geen A-record maar een NS record om zo het domein te sturen naar hun eigen name servers en zo malware mee te kunnen geven aan bezoekers van die domeinen. Op twitter.com zijn dat er per seconde best wel wat. Misschien is dit dus een eerste stap in het verkrijgen van een groot netwerk aan PC's om een DDOS aanval mee uit te gaan voeren.

[Reactie gewijzigd door NoUseWhatsoever op 26 juli 2024 00:28]

aval0ne @dvanmaanen • 28 augustus 2013 09:33

De VS staat op het punt Syrië aan te vallen en het SEA hackt websites van bekende Amerikaanse mediabedrijven. En dat heeft niks te maken met wat er in Syrië aan de hand is? Komop zeg, het heeft er alles mee te maken.

T-men @aval0ne • 28 augustus 2013 11:39

Het enige wat dit met in Syrië te maken heeft is dat de situatie daar als excuus gebruikt wordt om wat puber-lol te trappen.

't is niet meer of minder dan een paar hackers die er in geslaagt zijn een paar DNS-records te te wijzigen. Zou niet moeten kunnen en foei naar Melbourne IT maar meer als dat is het ook niet.

Was het een 'gewone' hack geweest zonder en link naar Syrië dan had de media het geval waarschijnlijk totaal genegeerd. Echter doordat de media er bovenop duikt krijgen die gastjes een paar mooie 5-minutes-of-fame.

Volgens mij is de beste remedie tegen dit soort hacks (en in een ernstigere vorm ervan: terrorisme) heel simpel. Zet de politie en justitie er op, maar NEGEER het in de media.

Geen aandacht = geen nut = geen hacks/aanslagen !

Overigens: http://xkcd.com/932/

[Reactie gewijzigd door T-men op 26 juli 2024 00:28]

sumac @T-men • 28 augustus 2013 18:59

Tuurlijk is het nieuws als de DNS van Twitter aangepast is door Syrische hackers terwijl de VS op het punt staan dat land te bombarderen. Ik betwijfel of het scriptkiddies zijn, neem aan dat er toch iets meer voor nodig is om daar in te breken. Negeren is onzin als een wereldwijde dienst als twitter offline gaat en vage Russische malware sites laat zien.

magatsu @dvanmaanen • 28 augustus 2013 09:27

Groot gelijk, als je als Syrian Electronic Army wel wat serieuzer wil genomen worden of toch tenminste als dreiging wilt overkomen dan moeten ze zich toch beter voorbereiden en niet zomaar een DNS wijziging invoeren.

Waarschijnlijk dat dit kwam nadat de VS had gedreigd met een interventie in Syrië.

kritischelezer @dvanmaanen • 28 augustus 2013 09:33

Lijkt me juist een perfecte actie, ze krijgen nu mondiaal aandacht voor hun website, wordt hier genoemd in het artikel en daar is hun.ideologie te bekijken. Dat kreeg je niet met jeugd vandalisme, emails heb je niets aan, het gaat om aandacht en de media werkt hier vrolijk aan mee

Verwijderd 28 augustus 2013 08:31

De twee domeinnamen gebruikten beide het Australische Melbourne IT als registrar.

Waarom? Als je problemen hebt, zoals in dit geval, zit je met uren tijdverschil, en dat kan niet handig zijn. En er zijn stapels registrars in eigen land?

MMaI @Verwijderd • 28 augustus 2013 08:41

According to a report from The Next Web, Melbourne IT began managing Twittersdomains in 2009. The firm inherited VeriSigns high-end DNS business when it acquired it in 2008. bron: techcrunch.

NoUseWhatsoever @Verwijderd • 28 augustus 2013 10:39

Wij zitten ook bij Melbourne IT, maar schakelen met het kantoor in London voor alle vragen en wijzigingen. Ze hebben vast ook een (of meerdere) kantoor in de VS, dus wat dat betreft niet een gekke keus.

CAPSLOCK2000

Internet

28 augustus 2013 10:02

Onze DNS-servers moeten beter beschermd worden. DNS wordt nu typisch gedaan door de goedkoopste partij. Je koopt al voor 1 euro een domein. Veel beveiliging kan er niet achter zitten voor zo'n prijs.

We geven wel honderden euro's uit aan een SSL-certificaat, maar daar heb je niks aan als je DNS niet is te vertrouwen.

WhiteDog @CAPSLOCK2000 • 28 augustus 2013 10:41

Een domein voor 1 euro? Zelfs een .cn is tegenwoordig duurder

Een SSL certificaat daarentegen he je al voor een goeie 10 €.

Als je via https naar een site gaat en op een andere nameserver uitkomt dan zal er toch wel een rood lampje gaan branden hoor, daar de "andere kant" nooit een geldig certificaat zal kunnen voorleggen. Wat je wel kan doen is (eens je het domein onder controle hebt) is snel een certificaat aankopen voor dat domein. Verificatie voor goedkope certificaten is meestal enkel via email en die kan je vanaf dan dus ook onderscheppen. Al mag ik hopen dat de uitgevers van certificaten zelf genoeg beveiliging inbouwen om deze zaken eruit te halen.

PS: kan de FBI niet gewoon syrianelectronicarmy.com in beslag nemen?

CAPSLOCK2000

Internet

@WhiteDog • 28 augustus 2013 10:58

Als het

Een domein voor 1 euro? Zelfs een .cn is tegenwoordig duurder Een SSL certificaat daarentegen he je al voor een goeie 10 €.

Vooruit, 3 euro voor een domein. En je kan voor een tientje een SSL-cert krijgen, maar grote bedrijven geven veeel meer uit aan EV-certificaten. Hoe dan ook, ze betalen meer voor hun SSL-certificaat dan voor hun domein. De beveiliging is dan ook navenant.

certificaat aankopen voor dat domein. Verificatie voor goedkope certificaten is meestal enkel via email en die kan je vanaf dan dus ook onderscheppen.

Als je controle hebt over DNS is het onderscheppen van zo'n mail kinderspel.

Al mag ik hopen dat de uitgevers van certificaten zelf genoeg beveiliging inbouwen om deze zaken eruit te halen.

Hoeveel kunnen ze nu echt controleren voor E10 ? Het gaat precies zoals je schreef, ze sturen je een mailtje en meer controle is er niet.

Als je via https naar een site gaat en op een andere nameserver uitkomt dan zal er toch wel een rood lampje gaan branden hoor, daar de "andere kant" nooit een geldig certificaat zal kunnen

Ik ken niemand die dan niet naar de website toe gaat. Alles en iedereen klikt op het knopje om de website toch te bezoeken.

Daarom wil ik nogmaals mijn punt maken: je zou je meer zorgen moeten maken om de beveiliging van je DNS dan om je SSL-certificaat.

Yzord @WhiteDog • 28 augustus 2013 11:29

PS: kan de FBI niet gewoon syrianelectronicarmy.com in beslag nemen?

Huh, hier op tweakers staan we op onze achterste poten wanneer men censuur toepast, maar voor het Syrische electronische leger gaan we wederom maar weer eens uitzonderingen maken. Simpelweg omdat het allemaal niet in ons straatje past momenteel.

De beveiliging is gewoon niet in orde en dat verbeter je niet door een domein te kapen, maar door de beveiliging omhoog te schroeven. Een domein is zo aangemaakt, dus dat hele domein kapen is gewoon een vinger in de dijk.

wpoely86 @CAPSLOCK2000 • 28 augustus 2013 10:56

Ik snap ook niet waarom DNSSEC niet zou helpen tegen dit soort aanvallen? Tenzij de aanvallers ook de private KSK of ZSK kunnen lospeuteren, zal de DNSSEC check toch falen van deze domains?

CAPSLOCK2000

Internet

@wpoely86 • 28 augustus 2013 11:00

Als ik het goed begrijp hebben ze ingebroken op de account bij de registrar. Ze hadden dus ook de DNSSEC-keys kunnen veranderen.

Dr.Root 28 augustus 2013 08:47

Ik zie het grotere plaatje niet geheel voor me.. Kan iemand mij helpen, vind het tamelijk interessant waarom zij aan het "pesten" zijn. Of was deze actie slechts een afleidingsmanoeuvre, voor een aanval of het vergaren van informatie die veel meer als waardevol word beschouwd. Of is dit maar de helft van het verhaal die de media doet uitkomen om geen angst te zaaien?

Chrotenise @Dr.Root • 28 augustus 2013 08:58

Anonymous met een andere naam. Ze hacken mensen uit naam van een goed doel, maar zijn voor fame/omdat het kan aan het hacken.

BramV 28 augustus 2013 11:33

Grappig dat je als reseller sowieso even een willekeurig account mag wijzigen als er geen registry lock op zit.. omdat renewal (voor wie en waarom? money?) dan vervelend zou zijn... Goed argument voor zo'n belangrijk onderdeel van de infrastructuur.

Simkin 28 augustus 2013 09:18

Stinkt een beetje naar propoganda nmi, komt natuurlijk goed uit voor de algemene opinie vorming

StGermain 28 augustus 2013 12:14

De Amerikanen zijn zo scheutig om het wettelijke regime van Syrië aan te vallen en daardoor de facto Al Qaida te steunen dat het mij niet eens zou verbazen als ze ook dit zelf in de hand gewerkt hebben al dan niet via infiltranten.

Verwijderd @StGermain • 28 augustus 2013 13:44

PS, Offtopic maar check dit, van begin dit jaar: https://www.youtube.com/watch?v=B8unjc3XwS0

[Reactie gewijzigd door Verwijderd op 26 juli 2024 00:28]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (23)

Sorteer op:

Weergave: